Security Lab

Межсайтовое выполнение сценариев в JSPWiki

Дата публикации:25.11.2004
Всего просмотров:1112
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2004-1544
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: JSPWiki 2.x
Уязвимые версии: JSPWiki 2.1.120-cvs и более ранние

Описание:
Межсайтовое выполнение сценариев обнаружено а JSPWiki. Удаленный атакующий может получить доступ к важной информации пользователей.

Уязвимость существует из-за некорректной обработки входных данных параметра 'query' в файле 'search.jsp'. Удаленный атакующий может с помощью специально сформированного URL выполнить произвольный HTML код в браузере целевого пользователя. Пример:
http://[target]/Search.jsp?query=<script>alert('hi')</script>

URL производителя: www.jspwiki.org

Решение: Решение на данный момент не существует.

Ссылки: JSPWiki Input Validation Hole in 'search.php' Lets Remote Users Conduct Cross-Site Scripting Attacks